pcap文件格式

最新推荐文章于 2024-05-26 21:17:11 发布
最新推荐文章于 2024-05-26 21:17:11 发布
阅读量2.9w 收藏 50
点赞数 9
分类专栏: Linux 文章标签: pcap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013793399/article/details/51474831
版权

pcap是什么

pcap是一种数据流格式,wireshark软件可以直接把网络数据流变成这种格式。
在Linux里,pcap可以说是一种通用的数据流格式,很多开源的项目都需要用到这种格式的文件。
ROHC的库里,测试脚本的入口参数之一就是一个pcap格式的数据流文件。
如果清楚了pcap的格式,就可以自己去生成数据流文件,从而去使用ROHC的库。

pcap格式

这里写图片描述
上图是pcap的格式结构图,分成两大部分:

  • Global Header (共 24 Byte)
    整个数据流文件,只会有一个 Global Header,它定义了本文件的读取规则最大储存长度限制等内容;
    这里写图片描述
    • Magic:4Byte:标记文件开始,并用来识别文件自己和字节顺序。0xa1b2c3d4用来表示按照原来的顺序读取,0xd4c3b2a1表示下面的字节都要交换顺序读取。考虑到计算机内存的存储结构,一般会采用0xd4c3b2a1,即所有字节都需要交换顺序读取
    • Major:2Byte: 当前文件主要的版本号,一般为 0x0200实际上因为需要交换读取顺序,所以计算机看到的应该是 0x0002
    • Minor:2Byte: 当前文件次要的版本号,一般为 0x0400计算机看到的应该是 0x0004
    • ThisZone:4Byte:当地的标准时间,如果用的是GMT则全零,一般都直接写 0000 0000
    • SigFigs:4Byte:时间戳的精度,设置为 全零 即可
    • SnapLen:4Byte:最大的存储长度,如果想把整个包抓下来,设置为 ffff 0000,但一般来说 ff7f 0000就足够了【计算机看到的应该是 0000 ff7f
    • LinkType:4Byte:链路类型,常用类型有以下几种,其他的,需要用的时候再查就行了。
    常用链路类型
       0            BSD loopback devices, except for later OpenBSD
       1            Ethernet, and Linux loopback devices
       6            802.5 Token Ring
       7            ARCnet
       8            SLIP
       9            PPP
       10           FDDI
       100          LLC/SNAP-encapsulated ATM
       101          "raw IP", with no link
       102          BSD/OS SLIP
       103          BSD/OS PPP
       104          Cisco HDLC
       105          802.11
       108          later OpenBSD loopback devices (with the AF_value in network byte order)
       113          special Linux "cooked" capture
       114          LocalTalk
  • Packet Header(共 16 Byte)
    Packet Header可以有多个,每个Packet Header后面会跟着一串Packet Data,Packet Header定义了Packet Data的长度、时间戳等信息。
    这里写图片描述
    • Timestamp:被捕获时间的高位,单位是seconds
    • Timestamp:被捕获时间的低位,单位是microseconds
    • Caplen:当前数据区的长度,即抓取到的数据帧长度,不包括Packet Header本身的长度,单位是 Byte ,由此可以得到下一个数据帧的位置。
    • Len:离线数据长度:网络中实际数据帧的长度,一般不大于caplen,多数情况下和Caplen数值相等。
  • Packet Data(共 Caplen Byte)
    在包头之后,就是数据包的数据了,数据长度就是Caplen个Byte,在这之后就是一个新的Packet Header,定义一个新的Packet Data属性,再接一个新的Packet Data,如此循环。

举个栗子

d4c3 b2a1 0200 0400 0000 0000 0000 0000
ff7f 0000 0100 0000 

e5da c850 fbdc 0800 2a00 0000 2a00 0000 
ffff ffff ffff 0000 0000 0000 0800 4500 
001c 0001 0000 4032 7cad 7f00 0001 7f00 
0001 0102 0304 0000 0001 

eada c850 6d02 0100 2a00 0000 2a00 0000 
ffff ffff ffff 0000 0000 0000 0800 4500 
001c 0002 0000 4032 7cac 7f00 0001 7f00 
0001 0102 0304 0000 0002 

eeda c850 9824 0800 2a00 0000 2a00 0000 
ffff ffff ffff 0000 0000 0000 0800 4500 
001c 0003 0000 4032 7cab 7f00 0001 7f00 
0001 0102 0304 0000 0003 

f3da c850 250c 0100 2a00 0000 2a00 0000 
ffff ffff ffff 0000 0000 0000 0800 4500 
001c 0004 0000 4032 7caa 7f00 0001 7f00 
0001 0102 0304 0000 0004


2bdc c850 7952 0500 2a00 0000 2a00 0000
ffff ffff ffff 0000 0000 0000 0800 4500
001c 2710 0000 4032 559e 7f00 0001 7f00
0001 0102 0304 0000 2710

上面是在ROHC库的测试文件里找出来的其中一个数据流文件,本来这些数据都是粘在一起的,我整理了一下让它变得更容易看一些。
例如第一段,

d4c3 b2a1 0200 0400 0000 0000 0000 0000
ff7f 0000 0100 0000

就是Global Header,可以一一对应到上面所说的各个属性。

例如第二段,

e5da c850 fbdc 0800 2a00 0000 2a00 0000 
ffff ffff ffff 0000 0000 0000 0800 4500 
001c 0001 0000 4032 7cad 7f00 0001 7f00 
0001 0102 0304 0000 0001

e5da c850 就是时间戳的高位
fbdc 0800 就是时间戳的低位
2a00 0000 就是数据包的大小,十六进制,转换成十进制,就是42 Byte
2a00 0000 就是抓到的包的大小
ffff ffff ffff 0000 0000 0000 0800 4500
001c 0001 0000 4032 7cad 7f00 0001 7f00
0001 0102 0304 0000 0001 就是数据包,长度一共是 42 Byte
然后就开始下一个数据包。

Joyce_Ng
关注
  • 9
    点赞
  • 50
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pcap文件格式(基础)
满天星辰
09-11 1043
文件头 24字节 数据报头1+ 数据报1 数据报头为16字节,后面紧跟数据报 数据报头2+ 数据报2 ...... 数据报头字段说明: Timestamp:时间戳高位,精确到seconds(值是自从January 1, 1970 00:00:00 GMT以来的秒数来记) Timestamp:时间戳低位,精确到microseconds (数据包被捕获时候的微秒(microseconds)数,是自ts-sec的偏移量) Caplen:当前数据区的长度,即抓取到的数据帧长度,由此可以得到...
.pcapng文件格式和.pcap文件格式
书伯的博客
11-04 1万+
原网页 本文为机翻后人工修饰了一些,总结一句话就是 .pcapng是.pcap的升级版 pcap捕获文件格式自计算机网络早期以来一直是通用的包捕获格式。 几乎所有捕获工具都支持pcap格式。 虽然供应商多年来已经创建了新的格式,但大多数工具支持转换为pcap格式。 虽然pcap今天仍然使用,但它确实有一些限制,使其他格式更具吸引力。 一种名为“pcapng”的新格式已经开发多年了。 pcapng的目标是解决pcap的一些不足,并为未来创建一种灵活的格式。 CloudShark的pcapng支持将pcap.
Pcap 文件格式和WireShark
10-26
PCAP 是一个数据包抓取库, 很多软件都是用它来作为数据包抓取工具的。 WireShark 也是用PCAP 库来抓取数 据包的。PCAP 抓取出来的数据包并不是原始的网络字节流,而是对其进行从新组装,形成一种新的数据格式
Pcap 数据包捕获格式详解
人人都懂物联网
05-24 1万+
Pcap 是 Packet Capture 的英文缩写,是一种行业标准的网络数据包捕获格式。如果你是网络开发人员,那么通常会使用 Wireshark、Tcpdump 或 WinDump 等网络分析器捕获 TCP/IP 数据包,而抓包后存盘的文件格式就是 .pcap 文件。 文件格式 Pcap 文件格式是一种二进制格式,支持纳秒级精度的时间戳。虽然这种格式在不同的实现中有所不同,但是所有的 pcap 文件都具有如下图所示的一般结构。 全局报头 全局报头(Global Header)包含魔数(Magic nu
pcap文件理解
最新发布
qq_54122067的博客
05-26 1212
Pcap文件中是二进制,使用winhex软件,打开是十六进制数,winhex是只有十六进制数,而wireshake自动将pcap中的数据包按照时间顺序将分开并赋予一个No.标号(标号是时间顺序)。:32位,一个UNIX格式的精确到秒时间值,用来记录数据包抓获的时间,记录方式是记录从格林尼治时间的1970年1月1日 00:00:00 到抓包时经过的秒数;ttl: 占据一个字节(8位),表示生存时间(Time to Live),用于限制数据包在网络中的生存时间,每经过一个路由器,TTL减1,直到为0时被丢弃。
PCAP(packet capture)格式
RandyOliver's House
01-15 3197
packet capture格式详解
Pcap文件详解
热门推荐
Ds的博客
03-17 1万+
Pcap文件详解 一、简介 pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。 普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。 还有一些其他网络
pcap详解
10-01 6985
pcap格式及API详解
PCAPNG文件格式详解——这一篇就够了!
m0_53887937的博客
10-22 6258
现今流行数据包格式pcapng详细介绍。
pcap文件格式.pdf
10-04
"PCAP文件格式详解" PCAP文件格式是一种通用的网络数据包捕获文件格式,广泛应用于网络协议分析、网络安全测试、网络故障诊断等领域。下面将对PCAP文件格式的各个组成部分进行详细解释。 PCAP文件头部(Pcap ...
了解pcap文件格式
07-28
pcap文件格式,对于网络包抓取和了解的认识
pcap格式文件分析-源码
01-30
标题中的“pcap格式文件分析-源码”指的是在计算机网络中用于捕获和存储网络数据包的pcap(Packet Capture)文件格式的解析过程,通常与网络分析、故障排查和安全监控相关。这种格式是许多网络分析工具,如Wireshark...
java抓包后对pcap文件解析示例
09-04
在Java编程环境中,抓包(Packet...总之,Java解析pcap文件涉及理解pcap文件格式、处理字节序转换以及解析数据包头部和内容。此示例提供了一个起点,但实际项目中可能需要更复杂的实现以应对各种网络协议和数据包结构。
c#实现pcap格式解包
12-18
1. **PCAP文件格式**:PCAP文件包含在网络接口上捕获的数据包的原始二进制数据,以及每个数据包的相关元数据,如时间戳、源IP和目标IP、端口号等。这些信息对于网络监控、故障排查和安全分析至关重要。 2. **C#环境...
pcapng:PCAP下一代文件格式规范
05-12
PCAP捕获文件格式下一代PCAPpcapng)捕获文件格式建立草稿可以使用make构建草稿的格式化文本和HTML版本。$ make 这需要您安装必要的软件。 请参阅。贡献请参阅。 pcappcapng规范是使用的超集和kramdown的...
python 抓包保存为pcap文件并解析的实例
09-19
Python在网络安全领域中被广泛用于数据包的抓取和分析,本实例主要讲解如何使用Python的Scapy库来抓包并保存为pcap文件,以及后续如何解析这些pcap文件。 首先,我们要导入必要的模块,包括`os`用于文件操作,以及...
pcap文件解析
qq_40878398的博客
08-18 1万+
pcap文件解析 1. pcap简介: pcap文件是一种常用的数据报存储文件,这种文件可以保存我们所抓到的报文。它有这固定的存储格式,通过notepad++中的插件Hex-Editor我们可以观察其中的16进制数据,从而来进行pcap文件的分析。 2. Pcap文件格式pcap文件格式如图所示: 以24字节的Pcap Header开头: 随后跟上每一个报文的相关信息: Packet Header:记录报文信息 Packet Data:记录报文数据 3. pcap Header // pc
Pcap文件格式转rwp
05-18
Pcap文件格式转换为RWP(Raw Wireless Packet)格式,您可以使用以下命令: ``` editcap -F rwp input.pcap output.rwp ``` 其中,`input.pcap` 是您要转换的Pcap文件,`output.rwp` 是转换后的RWP文件。请确保...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值